Cómo bloquear dispositivos de almacenamiento USB en un dominio 2016/2012 con la directiva de grupo.

MisceláneaDec 19, 2021

Esta guía contiene instrucciones paso a paso sobre cómo bloquear dispositivos de almacenamiento USB en todo el dominio o en usuarios de dominios específicos mediante la política de grupo en un dominio de AD 2016 o 2012. Más específicamente, después de leer las instrucciones de esta guía, aprenderá cómo evitar el acceso a cualquier dispositivo de almacenamiento USB (unidades flash, dispositivos externos). discos duros, teléfonos inteligentes, tabletas, etc.), que pueden conectarse a cualquier computadora del dominio, o denegar el acceso al almacenamiento USB solo a usuarios específicos del dominio.

Hoy en día, muchos de nosotros usamos un dispositivo de almacenamiento USB para transferir datos. Sin embargo, para una organización, la capacidad de sus empleados para utilizar dispositivos de almacenamiento externos puede contener riesgos de seguridad, como la propagación de malware o la interceptación de datos confidenciales. Para evitar estos riesgos, puede leer las siguientes instrucciones para bloquear el acceso a los dispositivos de almacenamiento USB a todos los usuarios y computadoras de su dominio o solo a ciertos usuarios del dominio, mediante la Política de grupo.

. *

* Notas:
1.En esta publicación, para bloquear unidades USB a través de la política de grupo, Usamos un controlador de dominio de Active Directory 2016 para crear la nueva política de grupo y las estaciones de trabajo Windows 10 Pro y Windows 7 Pro para aplicarla.
2. La política "Bloquear acceso USB" no afectará a los administradores de dominio ni a ningún otro dispositivo USB conectado, como teclados, mouse, impresora, etc. USB.
3.Después de aplicar la Política de grupo, los usuarios no tendrán acceso a ningún tipo de dispositivo de almacenamiento USB, y recibirá uno de los siguientes mensajes de error cuando intente acceder a un dispositivo de almacenamiento USB en su ORDENADOR PERSONAL.

imagenimagen

Cómo utilizar la directiva de grupo para evitar el acceso a dispositivos de almacenamiento USB (Server 2012 / 2012R2 / 2016)

  • Parte 1. Bloquear el acceso de lectura / escritura USB en todos los usuarios del dominio.
  • Parte 2. Bloquear el acceso de lectura / escritura USB para ciertos usuarios de dominio.

Parte 1. Cómo bloquear el acceso a dispositivos de almacenamiento USB en todo el dominio 2016.

Para deshabilitar el acceso a cualquier dispositivo de almacenamiento USB conectado a cualquier computadora (usuario) en el dominio:

1. En Server 2016 AD Domain Controller, abra el Administrador del servidor y luego de Instrumentos menú, abra el Administración de Políticas de Grupo. *

* Además, navegue a Panel de control -> Herramientas administrativas -> Administración de Políticas de Grupo.

Gestión de políticas de grupo: servidor 2016

2. Bajo Dominios, seleccione su dominio y luego botón derecho del ratón en Política de dominio predeterminada y elige Editar.

Editar la política de dominio predeterminada

3. En 'Editor de administración de políticas de grupo', navegue hasta:

  • Configuración de usuario> Políticas> Plantillas administrativas> Sistema> Acceso a almacenamiento extraíble

4. En el panel derecho, haga doble clic en: Discos extraíbles: deniegue el acceso de lectura. *

* Notas:
1. Muchos tutoriales en este punto sugieren Permitir el 'Todas las clases de almacenamiento extraíble: Deny all access ' política, pero durante nuestras pruebas descubrimos que esta política no se aplica (funciona) para teléfonos inteligentes o tabletas.
2. Si desea bloquear el acceso de escritura USB, seleccione el Discos extraíbles: deniegue el acceso de escritura.

Cómo bloquear dispositivos de almacenamiento USB en un dominio con la política de grupo

5. Cheque Activado y haga clic en está bien.

Cómo bloquear usb a través de la política de grupo en Windows Server 2016

6. Cerca el Editor de políticas de grupo.
7. Reiniciar el servidor y las máquinas cliente, o ejecute el gpupdate / force comando para aplicar la nueva configuración de la política de grupo (sin reiniciar) tanto al servidor como a los clientes.

Parte 2. Cómo evitar el acceso a dispositivos de almacenamiento USB en usuarios de dominio específicos.

Para deshabilitar el acceso a los dispositivos de almacenamiento USB a usuarios específicos solo mediante el uso de una política de grupo, debe crear una agrupar con los usuarios que no quieren acceder a los dispositivos de almacenamiento USB y luego aplicar la nueva política a este grupo. Para hacer eso:

Paso 1. Cree un grupo con los usuarios de USB discapacitados. *

* Nota: Si ya ha creado un grupo con los usuarios de USB deshabilitados, continúe paso 2.

1. Abierto Directorio activo de usuarios y computadoras.
2. Haga clic derecho en el "Usuarios"en el panel izquierdo y elija Nuevo > Grupo

Active Directory - Crear grupo

3. Escriba un nombre para el nuevo grupo (por ejemplo, "Usuarios con USB deshabilitado") y haga clic en OK. *

* Nota: Deje marcadas las opciones 'Global' y 'Seguridad'.

imagen

4. Abra el grupo recién creado, seleccione el Miembros pestaña y haga clic en Agregar

imagen

5. Ahora seleccione en qué usuario (s) de dominio desea bloquear los dispositivos de almacenamiento USB y luego haga clic en está bien.

imagen

6. Hacer clic OK para cerrar las propiedades del grupo.

imagen

Paso 2. Cree un nuevo objeto de política de grupo para deshabilitar los dispositivos de almacenamiento USB.

1. Abre el Administración de Políticas de Grupo.
2. En el objeto 'Dominios', haga clic con el botón derecho en su dominio y seleccione Cree un GPO en este dominio y vincúlelo aquí.

imagen

3. Escriba un nombre para el nuevo GPO (por ejemplo, "USB desactivado") y haga clic en está bien.

imagen

4. Haga clic con el botón derecho en el nuevo GPO y haga clic en Editar.

Deshabilite el acceso USB para ciertos usuarios a través de la política de grupo

5. En 'Editor de administración de políticas de grupo', navegue hasta:

  • Configuración de usuario> Políticas> Plantillas administrativas> Sistema> Acceso a almacenamiento extraíble

4. En el panel derecho, haga doble clic en: Discos extraíbles: deniegue el acceso de lectura. *

* Nota:
1. Muchos tutoriales en este punto sugieren Permitir el 'Todas las clases de almacenamiento extraíble: Deny all access ' política, pero durante nuestras pruebas descubrimos que esta política no se aplica (funciona) para teléfonos inteligentes o tabletas.
2. Si desea bloquear el acceso de escritura USB, seleccione el Discos extraíbles: deniegue el acceso de escritura.

Bloquear el acceso al almacenamiento USB para ciertos usuarios

5. Cheque Activado y haga clic en está bien.

Discos extraíbles: denegar acceso

6. Cerca el Editor de administración de políticas de grupo ventana.

7. Vuelva a 'Administración de políticas de grupo', seleccione el GPO "USB deshabilitado" y en la pestaña "Alcance" haga clic en el Agregar botón (debajo de la configuración de 'Filtrado de seguridad').

Bloquear USB para ciertos usuarios en AD Server 2016

8. Escriba el nombre del grupo "Usuarios con USB desactivado" (por ejemplo, "Usuarios con USB desactivado" en esta publicación) y haga clic en OK.

imagen

9. Cuando termine, seleccione el Delegación pestaña.

imagen

10. En la pestaña 'Delegación', Seleccione el Usuarios autenticados y haga clic en Avanzado.

imagen

11. En las opciones de seguridad, Seleccione el Usuarios autenticados y desmarcar el Aplicar política de grupo caja. Cuando termine, haga clic en está bien.

imagen

6. Cerca el Editor de políticas de grupo.
7. Reiniciar el servidor y las máquinas cliente, o ejecute el "gpupdate / force"comando (como administrador), para aplicar la nueva configuración de la política de grupo (sin reiniciar) tanto al servidor como a los clientes.

¡Eso es! Déjame saber si esta guía te ha ayudado dejando tu comentario sobre tu experiencia. Por favor, haga clic en Me gusta y comparta esta guía para ayudar a otros.